Kwetsbaarheden Verholpen in QNAP QTS en QTS Hero

Het recent bijgewerkte beveiligingsadvies van QNAP toont aan dat verschillende kwetsbaarheden in hun QTS en QTS Hero besturingssystemen zijn verholpen. Hieronder volgt een gedetailleerde uitleg van de kwetsbaarheden, de mogelijke impact, de betrokken versies, en de oplossingen die zijn geïmplementeerd.

Inleiding

QNAP heeft kwetsbaarheden verholpen in QTS en QTS Hero. Deze kwetsbaarheden zouden door kwaadwillenden misbruikt kunnen worden om verhoogde rechten te verkrijgen, toegang te krijgen tot gevoelige gegevens, of het uitvoeren van willekeurige OS-commando’s mogelijk kunnen maken. Om succesvol misbruik te plegen, moet de aanvaller reeds geauthenticeerd zijn.

Kenmerken van de Kwetsbaarheden

De verholpen kwetsbaarheden hebben betrekking op de volgende beveiligingslekken:

• Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’): Inadequate controle op de grootte van ingevoerde gegevens kan leiden tot buffer overflows die de stabiliteit en veiligheid van het systeem in gevaar brengen.
• Improper Neutralization of Special Elements in Commands (‘Command Injection’): Speciale tekens worden niet goed geneutraliseerd, waardoor command injectie mogelijk is.
• Improper Restriction of Excessive Authentication Attempts: Onvoldoende beperking op het aantal authenticatiepogingen kan brute force aanvallen mogelijk maken.
• Missing Authorization: Gebrek aan adequate autorisatiecontrole kan leiden tot ongeoorloofde toegang.
• Improper Neutralization of Special Elements in OS Commands (‘OS Command Injection’): Kwetsbaarheden die command injectie binnen OS-opdrachten mogelijk maken.
• Heap-based Buffer Overflow: Problemen met heap-storage kunnen leiden tot aanvallen die de stabiliteit en veiligheid van het systeem ondermijnen.

Omschrijving van de Impact

De kwetsbaarheden die verholpen zijn, kunnen verschillende gevolgen hebben:

• Verhoogde rechten verkrijgen: Aanvallers kunnen administratieve rechten krijgen waardoor ze volledige controle over het systeem hebben.
• Toegang tot gevoelige gegevens: Dit kan leiden tot datalekken of schending van privacy.
• Uitvoeren van willekeurige OS-commando’s: Dit kan resulteren in het volledig compromitteren van het systeem.

Bereik en Betrokken Versies

De kwetsbaarheden komen voor in de volgende QNAP-producten en versies:

• Platforms:
  • QTS
  • QTS Hero
• Producten:
  • QNAP QTS
  • QNAP QTS Hero
• Versies:
  • QTS (4.5.x tot 5.1.x)
  • QTS Hero (h4.5.x tot h5.1.x)

Exacte versies die getroffen zijn: 4.5.4.2790, 5.1.3.2578, 5.1.4.2596, 5.1.6.2722, 5.1.7.2770.

Oplossingen

QNAP heeft updates uitgebracht om deze kwetsbaarheden aan te pakken. Gebruikers worden aangeraden om de updates zo snel mogelijk toe te passen. Verdere details en instructies zijn te vinden in de volgende beveiligingsmededelingen:

• QNAP Security Advisory QSA-24-28
• QNAP Security Advisory QSA-24-32
• QNAP Security Advisory QSA-24-33

CVE’s

De opgeloste kwetsbaarheden hebben de volgende CVE-identificaties:

• CVE-2023-34974
• CVE-2023-34979
• CVE-2023-39298
• CVE-2024-21906
• CVE-2024-32763
• CVE-2024-32771
• CVE-2024-38641

Bij gebruik van dit beveiligingsadvies gaat u akkoord met de volgende voorwaarden. Hoewel het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit document. Dit advies is bedoeld voor algemene informatieve doeleinden voor professionals en hieraan kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade veroorzaakt door het gebruik of de onmogelijkheid van gebruik van dit beveiligingsadvies. Op dit advies is Nederlands recht van toepassing. Alle geschillen zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag, inclusief de voorzieningenrechter in kort geding.

---

Deze herziende en uitgebreide inhoud is bedoeld om de gebruiker een vollediger beeld te geven van de recent verholpen kwetsbaarheden in QNAP QTS en QTS Hero, evenals de mogelijke gevolgen en de benodigde acties om hun systemen te beveiligen.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----